जावा और .NET में लिखे गए तीन-चौथाई से अधिक एप्लिकेशन में OWASP टॉप 10 से कम से कम एक भेद्यता है, सॉफ्टवेयर कमजोरियों की एक सूची जो डेवलपर्स आमतौर पर एप्लिकेशन सुरक्षा के लिए आधार रेखा के रूप में उपयोग करते हैं।
यह सॉफ्टवेयर-परीक्षण फर्म वेराकोड के अनुसार है, जो लगभग 760,000 अनुप्रयोगों के विश्लेषण में पाया गया कि उन दो प्रोग्रामिंग पारिस्थितिक तंत्रों का उपयोग करने वाले पांच अनुप्रयोगों में से एक में कम से कम एक उच्च-गंभीरता या गंभीर-गंभीरता भेद्यता थी।
कुल मिलाकर, औसत एप्लिकेशन में हर महीने कम से कम एक भेद्यता पेश करने का 27% मौका था, खराब लिखे गए ऐप और कभी-कभी स्कैन किए गए ऐप के अधिक त्रुटिपूर्ण होने की संभावना थी, जबकि सुरक्षा प्रक्रियाओं के लंबे इतिहास वाले एप्लिकेशन और अच्छी तरह से प्रशिक्षित द्वारा लिखे जा रहे थे डेवलपर्स ने नई खामियों को पेश करने की संभावना कम दिखाई, डेटा दिखाया।
वेराकोड में रणनीतिक उत्पाद प्रबंधन के उपाध्यक्ष टिम जैरेट कहते हैं, विश्लेषण विकास पाइपलाइन में सुरक्षा को एकीकृत करने के महत्व पर प्रकाश डालता है।
"डेटा लगातार दिखाता है कि यदि आप अपनी प्रक्रिया में सुरक्षा की आदत बनाते हैं, तो समग्र खामियों को ठीक करने के मामले में, आपके पास बेहतर परिणाम हैं, और ... आप आने वाले सामान की बाढ़ को भी धीमा कर देते हैं, और इससे बड़ा फर्क पड़ता है, " वह कहते हैं।
इस बीच, सॉफ्टवेयर कंपनियां और विकास दल एप्लिकेशन कोड से दोषों और कमजोरियों को दूर करने के लिए संघर्ष करना जारी रखते हैं। जबकि डेवलपर्स और ओपन सोर्स प्रोजेक्ट हैं सॉफ्टवेयर की खामियों को और तेजी से ठीक करना11 जनवरी को प्रकाशित वेराकोड की "स्टेट ऑफ़ सॉफ़्टवेयर सिक्योरिटी" रिपोर्ट के अनुसार, औसत भेद्यता का आधा जीवन महीनों में मापा जाता है, दिनों या हफ्तों में नहीं।
उदाहरण के लिए, जावा और .NET एप्लिकेशन, जो अध्ययन द्वारा विश्लेषण किए गए कुल अनुप्रयोगों के 71% के लिए जिम्मेदार थे, ने क्रमशः 243 दिनों और 158 दिनों के बाद भी आधे दोषों को देखा।
एप्लिकेशन ब्लोट और उम्र दोनों का उनकी सुरक्षा पर महत्वपूर्ण नकारात्मक प्रभाव पड़ा। औसत एप्लिकेशन लगभग 40% अधिक कोड जमा करता है और कमजोरियों की संभावना अधिक होती है। दो साल पुराने लगभग 54% आवेदनों में खामियां हैं, जबकि पांच साल पुराने 69% आवेदनों में खामियां हैं। विश्लेषण पाया गया.
जावास्क्रिप्ट की आश्चर्यजनक सुरक्षा
आश्चर्यजनक रूप से, जावास्क्रिप्ट में लिखे गए एप्लिकेशन या किसी एक जावास्क्रिप्ट फ्रेमवर्क का उपयोग भेद्यता स्कैन में बेहतर प्रदर्शन करते हैं। जबकि लगभग 80% Java और .NET अनुप्रयोगों में भेद्यता थी, केवल 56% JavaScript अनुप्रयोगों में भेद्यता थी। और जबकि लगभग 20% जावा और .NET अनुप्रयोगों में उच्च-गंभीरता भेद्यता थी, 10% से कम जावास्क्रिप्ट अनुप्रयोगों में थी।
जैरेट कहते हैं कि जावास्क्रिप्ट फ्रेमवर्क नए हैं, अधिक सुरक्षा है, और एक ओपन सोर्स इकोसिस्टम के लाभ हैं, जिससे जावा को अपेक्षाकृत हाल ही में लाभ हुआ है।
"जावास्क्रिप्ट एक नई भाषा है, इसलिए इसमें लिखे गए एप्लिकेशन [हैं] नए हैं, और एक सहसंबंध है जिसे हमने पिछली रिपोर्टों में आवेदन की उम्र और दोष निवारण समय के बीच स्थापित किया है," वे कहते हैं। "जावास्क्रिप्ट के लिए बहुत सारे टूलिंग [है] परिपक्व और यह एक अच्छी तरह से समर्थित भाषा है।"
इसके अलावा, जहां जावा एप्लिकेशन में भेद्यता एक प्रथम-पक्ष समस्या है - डेवलपर को मुद्दों को ठीक करने के लिए छोड़ देना - जावास्क्रिप्ट और Node.js ढांचे में, कमजोरियां अक्सर एक तृतीय-पक्ष समस्या होती हैं, क्योंकि भेद्यता एक घटक में हुई है जिस पर सॉफ्टवेयर निर्भर करता है।
"जिस तरह से आप जावा एप्लिकेशन में सुरक्षा समस्या को ठीक करते हैं वह अभी भी काफी हद तक है [जहां] आप कक्षा फ़ाइल में बदलाव करते हैं और आप इसे संकलित करते हैं," वे कहते हैं। "जहां एक जावास्क्रिप्ट एप्लिकेशन में, यह एक पैकेज प्रबंधन समस्या अधिक है। और एक डेवलपर के लिए सीखना अलग बात है, जो आसान हो सकता है।
नई प्रोग्रामिंग भाषाएँ सुस्त
रिपोर्ट का डेटा उन प्रोग्रामिंग भाषाओं के बीच के अंतर को भी उजागर करता है जो डेवलपर्स सीख रहे हैं और वे भाषाएं जो वास्तव में अधिकांश उद्यमों में उपयोग की जाती हैं। शीर्ष भाषाएं और पारिस्थितिक तंत्र - जावा, .NET, और जावास्क्रिप्ट - वेराकोड द्वारा देखी गई प्रोग्रामिंग तकनीक के डेवलपर्स की पसंद नहीं हैं।
जबकि जावास्क्रिप्ट और JS-आधारित फ्रेमवर्क - जैसे Node.js, React.js, और Angular - डेवलपर-पसंदीदा तकनीक की सूचियों पर हावी हैं, जावा सबसे कम पसंद की जाने वाली प्रोग्रामिंग भाषाओं में से एक है, जिसकी तुलना में 54% उत्तरदाताओं को भाषा से डर लगता है। स्टैक ओवरफ्लो के अनुसार 46% लोगों ने इसे पसंद किया 2022 डेवलपर सर्वेक्षण.
फिर भी जावा जावास्क्रिप्ट के लिए 44% की तुलना में वेराकोड क्लाइंट (14%) द्वारा स्कैन किए गए एप्लिकेशन के हिस्से पर हावी है।
इसके अलावा, सबसे पसंदीदा प्रोग्रामिंग लैंग्वेज, रस्ट, वेराकोड के डेटा में भी दिखाई नहीं देती है, जबकि डेवलपर्स नंबर 6, पायथन, स्कैन किए गए एप्लिकेशन के केवल 4% से कम खाते हैं।
डिस्कनेक्ट के कारण का एक हिस्सा यह है कि स्थापित एप्लिकेशन स्थापित प्रोग्रामिंग भाषाओं में लिखे गए हैं, वेराकोड के जेरेट कहते हैं।
"आपके पास सभी कोड का पूरा ब्रह्मांड है जो बाहर है, और फिर आपके पास नए विकास की लहर के शिखर पर फोम की तरह हो रहा है, और यही वह जगह है जहां आप लोगों को गो और रस्ट और डार्ट उठाते हुए देखते हैं और स्पंदन, "वह कहते हैं।
उन भाषाओं में लिखे गए अनुप्रयोगों के एकत्रित कोडबेस के कारण, यह स्थिति संभवत: नहीं बदलेगी।
"दुर्भाग्यवश, पुराने एप्लिकेशन कभी नहीं मरते हैं, इसलिए इन बड़े जावा कोडबेस और .NET कोडबेस के साथ उद्यमों में बहुत अधिक महत्वपूर्ण द्रव्यमान है," वे कहते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/threat-intelligence/java-net-developers-frequent-vulnerabilities
- 000
- 10
- 11
- a
- About
- अनुसार
- अकौन्टस(लेखा)
- जमा हुआ
- वास्तव में
- इसके अलावा
- बाद
- सब
- विश्लेषण
- और
- कोणीय
- आवेदन
- अनुप्रयोग सुरक्षा
- अनुप्रयोगों
- क्षुधा
- स्वत:
- औसत
- आधारभूत
- क्योंकि
- जा रहा है
- लाभ
- बेहतर
- के बीच
- बड़ा
- ब्लोट
- निर्माण
- संयोग
- परिवर्तन
- चुनाव
- कक्षा
- ग्राहकों
- कोड
- अ रहे है
- कंपनियों
- तुलना
- अंग
- जारी रखने के
- जारी
- सह - संबंध
- महत्वपूर्ण
- तिथि
- दिन
- निर्भर करता है
- डेवलपर
- डेवलपर्स
- विकास
- डीआईडी
- Умереть
- अंतर
- विभिन्न
- हावी
- आसान
- पारिस्थितिकी तंत्र
- पारिस्थितिकी प्रणालियों
- को खत्म करने
- उद्यम
- स्थापित
- ईथर (ईटीएच)
- और भी
- उदाहरण
- पट्टिका
- फर्म
- फिक्स
- दोष
- त्रुटिपूर्ण
- खामियां
- स्पंदन
- झाग
- पाया
- ढांचा
- चौखटे
- बारंबार
- से
- पूर्ण
- Go
- आधा
- हाइलाइट
- इतिहास
- HTTPS
- प्रभाव
- महत्व
- in
- घालमेल
- परिचय कराना
- शुरू की
- मुद्दा
- मुद्दों
- IT
- जॉन
- जावा
- जावास्क्रिप्ट
- बच्चा
- भाषा
- भाषाऐं
- बड़े पैमाने पर
- जानें
- सीख रहा हूँ
- छोड़ने
- संभावित
- सूची
- सूचियाँ
- लंबे समय तक
- लॉट
- प्यार करता था
- बहुमत
- बनाना
- बनाता है
- प्रबंध
- सामूहिक
- परिपक्व
- अधिकतम-चौड़ाई
- महीना
- महीने
- अधिक
- अधिकांश
- लगभग
- नकारात्मक
- जाल
- नया
- नोड
- Node.js
- हुआ
- पुराना
- ONE
- खुला
- खुला स्रोत
- ओपन सोर्स प्रोजेक्ट्स
- कुल
- पैकेज
- स्टाफ़
- पाइपलाइन
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- अध्यक्ष
- पिछला
- मुसीबत
- प्रक्रिया
- प्रक्रियाओं
- एस्ट्रो मॉल
- उत्पाद प्रबंधन
- प्रोग्रामिंग
- प्रोग्रामिंग की भाषाएँ
- परियोजनाओं
- प्रकाशित
- अजगर
- प्रतिक्रिया
- कारण
- हाल ही में
- अपेक्षाकृत
- रिपोर्ट
- रिपोर्ट
- जंग
- सुरक्षा
- Share
- दिखाना
- दिखाता है
- महत्वपूर्ण
- स्थिति
- धीमा
- So
- सॉफ्टवेयर
- सॉफ्टवेयर सुरक्षा
- स्रोत
- धुआँरा
- राज्य
- फिर भी
- सामरिक
- संघर्ष
- अध्ययन
- ऐसा
- समर्थित
- आश्चर्य की बात
- टीमों
- टेक्नोलॉजी
- शर्तों
- RSI
- लेकिन हाल ही
- बात
- तीसरे दल
- टिम
- पहर
- सेवा मेरे
- ऊपर का
- शीर्ष 10
- कुल
- आम तौर पर
- ब्रम्हांड
- उपयोग
- वाइस राष्ट्रपति
- कमजोरियों
- भेद्यता
- लहर
- सप्ताह
- कौन कौन से
- जब
- कौन
- मर्जी
- लिखा हुआ
- आपका
- जेफिरनेट